Конечные точки службы для виртуальной сети для Azure Key Vault

Конечные точки служб для виртуальной сети для Azure Key Vault позволяют ограничить доступ к определенной виртуальной сети. Также эти конечные точки позволяют ограничить доступ определенным набором диапазонов адресов IPv4 (протокол IP версии 4). Для любого пользователя при попытке подключения к хранилищу ключей из любых других расположений доступ будет отклонен.

Из этого ограничения есть одно важное исключение. Если пользователь разрешил доступ доверенным службам Майкрософт, брандмауэр будет пропускать подключения из этих служб. К таким службам относятся, к примеру, Office 365 Exchange Online, Office 365 SharePoint Online, служба вычислений Azure, Azure Resource Manager и Azure Backup. Такие пользователи по-прежнему должны представить действительный маркер Microsoft Entra и иметь разрешения (настроенные в качестве политик доступа) для выполнения запрошенной операции. Дополнительные сведения см. в статье Конечные точки служб для виртуальной сети.

Сценарии использования

Брандмауэры и виртуальные сети Key Vault можно настроить так, чтобы по умолчанию запрещать трафик из всех сетей (в том числе из Интернета). Вы можете разрешить доступ для трафика из конкретных виртуальных сетей Azure или диапазонов общедоступных IP-адресов, что позволит определить границу защищенной сети для приложений.

Примечание.

Правила брандмауэра и виртуальной сети Key Vault применяются только к плоскости данных в Key Vault. Правила брандмауэра и виртуальной сети не влияют на операции плоскости управления Key Vault (создание, удаление, изменение, настройка политик доступа, настройка правил брандмауэров и виртуальной сети и развертывание секретов или ключей с помощью шаблонов ARM).

Ниже приведены некоторые примеры использования конечных точек службы.

• Если Key Vault используется для хранения ключей шифрования, секретов приложения и сертификатов, доступ к которым из общедоступного Интернета вы хотите запретить.
• Если вы хотите заблокировать доступ к хранилищу ключей, чтобы к нему могли подключаться только одно приложение или небольшой набор назначенных узлов.
• Если у вас есть приложение, работающее в виртуальной сети Azure, для которой заблокирован любой исходящий и входящий трафик, но приложению требуется подключение к хранилищу ключей для получения секретов, сертификатов или криптографических ключей.

Предоставить доступ к доверенным службам Azure

Вы можете предоставить доступ к доверенным службам Azure в хранилище ключей, сохраняя правила сети для других приложений. Эти доверенные службы будут использовать надежную проверку подлинности для безопасного подключения к хранилищу ключей.

Вы можете предоставить доступ к доверенным службам Azure, настроив параметры сети. Пошаговые инструкции см. в параметрах конфигурации сети этой статьи.

При предоставлении доступа к доверенным службам Azure вы предоставляете следующие типы доступа:

• Доверенный доступ для некоторых операций к ресурсам, зарегистрированным в вашей подписке.
• Доверенный доступ к ресурсам на основе управляемого удостоверения.
• Доверенный доступ между клиентами с помощью учетных данных федеративного удостоверения

Доверенные службы

Ниже приведен список доверенных служб, которые получают доступ к хранилищу ключей, если включен соответствующий параметр.

Доверенная служба	Поддерживаемые сценарии использования
Управление API Azure	Развертывание сертификатов для Custom Domain из Key Vault с помощью MSI.
Служба приложений Azure	Служба приложений является доверенной только для развертывания сертификата Azure Web App с помощью Key Vault. Для отдельного приложения исходящие IP-адреса можно добавить в правила на основе IP-адресов Key Vault.
Шлюз приложений Azure	Использование сертификатов Key Vault для прослушивателей с поддержкой HTTPS.
Azure Backup	Разрешение резервного копирования и восстановления соответствующих ключей и секретов во время резервного копирования виртуальной машины Azure с помощью службы Azure Backup.
Пакетная служба Azure	Настройка управляемых клиентом ключей для учетных записей пакетной службы и Key Vault для учетных записей пакетной службы подписки пользователей
Служба Azure Bot	Шифрование Служба Bot ИИ Azure для неактивных данных
Azure CDN	Настройка HTTPS в личном домене Azure CDN: предоставление Azure CDN доступа к хранилищу ключей
Реестр контейнеров Azure	Шифрование реестра с использованием управляемых клиентом ключей.
Azure Data Factory	Получение учетных данных хранилища данных в Key Vault из Фабрики данных.
Azure Data Lake Store	Шифрование данных в Azure Data Lake Storage с помощью управляемого пользователем ключа.
Диспетчер данных Azure для сельского хозяйства	Хранение и использование собственных ключей лицензий
База данных Azure для MySQL отдельный сервер	Шифрование данных для одного сервера База данных Azure для MySQL
Гибкий сервер База данных Azure для MySQL	Шифрование данных для гибкого сервера База данных Azure для MySQL
Отдельный сервер Базы данных Azure для PostgreSQL	Шифрование данных для отдельного сервера Базы данных Azure для PostgreSQL
Гибкий сервер База данных Azure для PostgreSQL	Шифрование данных для гибкого сервера База данных Azure для PostgreSQL
Azure Databricks	Быстрая и простая служба аналитики на основе Apache Spark для совместной работы.
Служба шифрования томов для шифрования дисков Azure	Разрешение доступа к ключу BitLocker (виртуальная машина Windows), парольной фразе DM (виртуальная машина Linux) и ключу шифрования ключей во время развертывания виртуальной машины. Это позволяет включить шифрование дисков Azure.
Хранилище дисков Azure	При настройке с набором шифрования дисков (DES). Дополнительные сведения см. в статье Шифрование Хранилища дисков Azure на стороне сервера с помощью ключей, управляемых клиентом.
Центры событий Azure	Разрешение доступа к хранилищу ключей в сценарии с управляемыми клиентом ключами.
Azure ExpressRoute	При использовании MACsec с ExpressRoute Direct
Брандмауэр Azure категории "Премиум"	сертификаты Брандмауэр Azure Premium
Azure Front Door (классическая версия)	Использование сертификатов Key Vault для HTTPS
Azure Front Door категории "Стандартный" или "Премиум"	Использование сертификатов Key Vault для HTTPS
Импорт и экспорт Microsoft Azure	Использование ключей, управляемых клиентом, в Azure Key Vault для службы импорта и экспорта
Azure Information Protection	Разрешение доступа к ключу клиента для Azure Information Protection.
Машинное обучение Azure	Защита Студии машинного обучения Azure в виртуальной сети Azure
Azure NetApp Files	Разрешить доступ к ключам, управляемым клиентом, в Azure Key Vault
сканирование Политика Azure	Политики уровня управления для секретов, ключей, хранящихся в плоскости данных
Служба развертывания шаблонов Azure Resource Manager	Передача защищенных значений в процессе развертывания.
Служебная шина Azure	Разрешение доступа к хранилищу ключей в сценарии с управляемыми клиентом ключами.
База данных SQL Azure	Прозрачное шифрование данных с поддержкой использования собственных ключей для Базы данных SQL Azure и Azure Synapse Analytics.
Хранилище Azure	Шифрование службы хранилища с помощью управляемых пользователем ключей в Azure Key Vault.
Azure Synapse Analytics	Шифрование данных с помощью управляемых пользователем ключей в Azure Key Vault.
Служба развертывания виртуальных машин Azure	Развертывание сертификатов на виртуальных машинах из хранилища ключей, управляемого пользователем
Exchange Online, SharePoint Online, M365DataAtRestEncryption	Разрешение доступа к ключам, управляемым клиентом, для шифрования неактивных данных с помощью ключа клиента.
Microsoft Purview	Учетные данные для проверки подлинности источника в Microsoft Purview

Примечание.

Необходимо настроить соответствующие назначения ролей RBAC Key Vault или политики доступа(устаревшие), чтобы разрешить соответствующим службам доступ к Key Vault.

Следующие шаги

• Пошаговые инструкции см. в разделе Настройка брандмауэров и виртуальных сетей Azure Key Vault.
• см. в разделе Обзор системы безопасности Azure Key Vault.